Zdravo, evo izvestaja sta smor adili na predhodne 2 radionice:
Pricali smo o open-source platformi Wazuh koja se moze koristiti kao osnov za SIEM (Security information and event management).
Wazuh se sastoji iz 3 komponente:
- Indexer-a - Elastic
- Dashboard-a - Kibana
- Glavnog servera - sadrzi pravila, dekodere, konfiguraciju, upravlja klijentima…
Kada se wazuh instalira, mogu se sa platforme instalirati wazuh klijenti na masine sa kojih se zele sakupljati logovi.
Wazuh ima dobru dokumentaciju u kojij se mogu naci sve informacije za platformu i nacin funckionisanja.
Moze se instalirati preko shell skripte, docker-a, Ansible…
Wazuh ima mnoge mogucnosti, pa je zbog njih prerastao u EDR ili XDR resenje.
- File Integrity Monitoring
- All commands logging (syslog)
- System call monitoring
- Rootkit detection
- CDB list
- YARA rules
- Anomaly detection
- ClamAV integration
- Active response (firewall, shutdown, delete, …)
- Security Configuration check (hardening and best practices differences)
- Email alerts
- OsQuery integration - system level changes (process opens port on all interfaces, …)
- Vulnerability detection
- MITRE Att&ck tactics techniques detection
- OpenSCAP checks
- HIPAA/PCI-DSS/GDPR/NIST/TSC compliance
- System inventory
- Container security
- Syslog server
- Custom rules/decoders
- Network IDS integration (Suricata, Snort, Zeek).
Pokazali smo kako moze nadgledati zadate direktorijume ili fajlove na promene prema dokumentaciji na: File integrity monitoring - Capabilities · Wazuh documentation i kako se moze integrisati sa YARA prateci upustvo: Detecting malware using YARA integration - Proof of Concept guide
Pored Wazuh-a instaliracemo dodatne open-source platforme koje ce obogatiti spektar funkcionalnosti u okviru pravljenja naseg Home-Made SOC-a.
Ideja je da imamo VPN u Krovu za remote pristup svima koji budu ucestvovali u radionici, a benefiti koje cemo time dobiti osim znanja i vestine u oblasti CyberSecurity-ja su da cemo imati platformu koju mozemo iskorititi da nadgledamo nase sisteme na upade.
Ko zeli da proba Wazuh na 14 dana moze da se registruje na njihovoj Cloud platformi za dzabe testiranje: Wazuh Cloud